本发明专利技术公开了一种量子通信服务站、量子密钥管理装置以及密钥配置网络和方法,其中量子密钥配置方法,包括:响应密钥分发请求;对密钥分发请求的用户进行身份认证;针对通过身份认证的用户,向该用户的量子密钥管理装置中写入利用真随机数生成的密钥。本发明专利技术不同于现有量子密钥的QKD分发方式,在量子通信网络的最末端使用量子密钥管理装置和服务站配对的方式实现了极高安全性的密钥分发,该方式解决了量子通信网络的最末端的接入安全问题,使得终端接入没有成为量子通信方案的薄弱环节。可以实现量子通信网络对经典通信网络业务上的全面覆盖和替换。
【技术实现步骤摘要】
本专利技术涉及量子通信
具体涉及一种基于量子密钥管理装置的密钥配置系统,包括密钥的分配、存储、使用等内容。
技术介绍
目前传统的通信加密和传输安全,都是依赖于复杂的数学算法。即由于目前计算机的计算能力所限,来不及在需求所在的时间段内计算出结果,因此可以说现在的数字密码体系是安全的。比如,为了对一个400位的阿拉伯数字进行因子分解,目前最快的超级计算机将耗时上百亿年。目前量子计算机的研发是科技界的一大热点。一旦出现具有相同时钟脉冲速度的量子计算机,只需大约1分钟便可计算完毕400位的阿拉伯数字的因子分解。而经典密码学中的非对称密钥算法,更是有进行特别设计的量子计算机算法(shor算法)进行破解。在计算能力强大的量子计算机面前,即便是再高级的保密通信,只要是通过当前的通信手段,都会面临被破译和窃听的可能。因此,建立实际可用的整套量子通信网络方案已经是迫在眉睫的刚需。量子通信技术是基于量子物理学建立起来的新兴安全通信技术。我国的量子通信技术已经进入了实用化的阶段,其应用前景和战略意义也引起了地方政府和重要行业对其产业发展的广泛关注。除建立量子通信干线以外,一些规模化城域量子通信网络也已经建设成功并运行。基于城域量子通信网络,量子通信技术也有了初步的应用,可实现高保密性的视频语音通信等应用。经典网络中的用户设备有很大的遭受恶意攻击的风险,如中病毒后,黑客能获取设备中的信息。为解决这些问题,开发了可协同用户设备一起运行的隔离设备,这些隔离设备有独立的计算和存储能力,将敏感信息和加密算法存于设备内,运算时敏感信息和加密算法不会出设备,只将运算结果输出。典型的有USBKEY和SDKEY等。随机数分为伪随机数和真随机数。伪随机数是利用算法生成的,如果已知种子和算法,那就没有随机性可言了。真随机数是利用物理过程(掷钱币、骰子、转轮、使用电子元件的噪音、核裂变、量子效应等等)生成,无法预测且无周期性。经典物理学严格来说不存在真正的随机性,而量子世界从本质上讲就是真正随机的,是不可预测的。因此在各种物理真随机数发生器中,量子随机数发生器由于基于量子力学基本原理保证了其绝对随机性,是随机数发生器的重要发展方向。虽然目前量子城域网已经可以允许用户接入并享有量子网络的高安全特性,但是目前用户接入量子网络的部分仍然是整个量子通信网络中的软肋。一方面量子密钥分发后的密钥安全到达用户手中是一个很大的问题;另一方面,同一台量子密钥分发设备所能连接的用户数有限也是妨碍量子通信实用化的一大障碍。协同用户设备一起运行的隔离设备一般采用了非对称密钥算法,而非对称密钥算法在量子计算机时代将无法安全使用。
技术实现思路
本专利技术采用量子通信方案,解决量子计算机时代数学算法尤其是非对称密钥算法被攻击后,通信安全无法保证的问题。本专利技术在用户接入量子网络的部分,采用量子密钥管理装置和量子密钥服务站的方式,解决用户接入时的量子密钥安全问题,以及大量用户接入量子网络时的问题。本专利技术提供一种量子通信服务站的量子密钥配置方法,包括:响应密钥分发请求;对密钥分发请求的用户进行身份认证;针对通过身份认证的用户,向该用户的量子密钥管理装置中写入利用真随机数生成的密钥。本专利技术中的配置,包括但不限于密钥的产生、读写传送、存储、加解密使用、更新、备份等操作。本专利技术不同于现有量子密钥的QKD分发方式,在量子通信服务站中利用现有或额外设置的真随机数发生器,生成真随机数,并写入用户专属的量子密钥管理装置,供用户用作密钥加密数据使用。本专利技术在量子通信网络的最末端使用量子密钥管理装置和量子通信服务站配对的方式实现了极高安全性的密钥分发,还利用目前信息安全隔离设备的技术优势,摒弃了非对称密钥算法,将安全分发的对称密钥按照合理的逻辑存储于隔离设备中,作为用户进行安全通信的通行证,采用随机性最好的量子随机数发生器产生业务所需密钥,而不使用伪随机数发生器和其他非量子真随机数发生器。可选的,对密钥分发请求的用户进行身份认证时,包括:读取密钥分发请求中携带的身份信息;将所述身份信息与通过审核的预留信息进行比对,符合设定条件的用户视为通过身份认证。可选的,写入所述密钥时,还向量子密钥管理装置中写入作为密钥管理服务站的当前量子通信服务站信息。可选的,写入量子密钥管理装置的密钥,同时存储在当前量子通信服务站中。可选的,采用对称密钥算法,写入量子密钥管理装置的密钥同步存储在当前量子通信服务站中,量子通信服务站中利用存储器或单独设置的存储服务器。可选的,存储在量子通信服务站中的密钥按不同用户分区存储。可选的,同区的密钥分为可用的有效密钥和不再使用的无效密钥,并通过存储地址进行识别。可选的,同区的密钥按不同的请求批次依次存储在各个子区;同一子区的密钥,按照字节数依次分段存储。为了进一步提高安全性,用户在获取量子密钥管理装置之前,应向量子通信服务站进行注册。可选的,本专利技术量子通信服务站的量子密钥配置方法,还包括办登步骤,包括:采集用户提交的注册信息获得所述预留信息;所述注册信息通过审核后向用户发放量子密钥管理装置。办登步骤中,向量子密钥管理装置中写入归属用户信息,以及颁发该量子密钥管理装置的归属服务站信息。办登步骤中,向量子密钥管理装置中写入用户指定数量的利用真随机数生成的密钥。办登步骤中,写入密钥时,还向量子密钥管理装置中写入作为密钥管理服务站的当前量子通信服务站信息。办登步骤中,写入量子密钥管理装置的密钥,同时存储在当前量子通信服务站中。可选的,本专利技术量子通信服务站的量子密钥配置方法,还包括可分发密钥数量记录步骤,包括:向用户发放量子密钥管理装置前,依据用户请求,在量子密钥管理装置以及量子通信服务站中记录该用户的可分发密钥数量。用户在办登步骤中,可以获取一定的权限,对应着可分发密钥数量,也可以通过支付对价的方式获得,但该可分发密钥数量并不一定一次性用尽,通过记录信息,可保留一部分可分发密钥数量。可选的,每次向量子密钥管理装置写入密钥后,更新可分发密钥数量更新客户的可分发密钥数量,更新后的可分发密钥数量为更新前的可分发密钥数量减去本次写入的密钥数量。可选的,在每次写入密钥前,获取用户的可分发密钥数量,并作如下判断:当密钥分发请求的密钥数量小于等于可分发密钥数量时进行分发;当密钥分发请求的密钥数量大于可分发密钥数量时,拒绝分发。可选的,通过读取量子密钥管理装置或量子通信服务站的记录,获取用户的可分发密钥数量。可选的,拒绝分发密钥时,进行提示。可选的,本专利技术量子通信服务站的量子密钥配置方法,还包括可分发密钥数量更新步骤,包括:响应来自用户的更新可分发密钥数量的请求;对该用户进行身份认证;通过身份认证后依据用户请求,更新该用户的可分发密钥数量。用户可以根据需要,通过支付对价或其他方式更新可分发密钥数量,例如增加可分发密钥数量,作为权限保留。可选的,本专利技术量子通信服务站的量子密钥配置方法,还包括同步更新步骤,包括:响应来自用户的更新密钥请求;依据所述更新密钥请求,同步更新量子密钥管理装置以及量子通信服务站中相应的密钥。可选的,所述更新密钥请求中携带有用户身份信息,接收到更新密钥请求后根据所述用户身份信息对用户进行身份认证。可选的,同步更新前,与用户采用三次握手的方式建立连接。可选的,所述更新密钥请求中本文档来自技高网...
【技术保护点】
一种量子通信服务站的量子密钥配置方法,其特征在于,包括:响应密钥分发请求;对密钥分发请求的用户进行身份认证;针对通过身份认证的用户,向该用户的量子密钥管理装置中写入利用真随机数生成的密钥。
【技术特征摘要】
1.一种量子通信服务站的量子密钥配置方法,其特征在于,包括:响应密钥分发请求;对密钥分发请求的用户进行身份认证;针对通过身份认证的用户,向该用户的量子密钥管理装置中写入利用真随机数生成的密钥。2.如权利要求1所述的量子通信服务站的量子密钥配置方法,其特征在于,对密钥分发请求的用户进行身份认证时,包括:读取密钥分发请求中携带的身份信息;将所述身份信息与通过审核的预留信息进行比对,符合设定条件的用户视为通过身份认证。3.如权利要求2所述的量子通信服务站的量子密钥配置方法,其特征在于,写入所述密钥时,还向量子密钥管理装置中写入作为密钥管理服务站的当前量子通信服务站信息。4.如权利要求3所述的量子通信服务站的量子密钥配置方法,其特征在于,写入量子密钥管理装置的密钥,同时存储在当前量子通信服务站中。5.如权利要求3所述的量子通信服务站的量子密钥配置方法,其特征在于,存储在量子通信服务站中的密钥按不同用户分区存储;同区的密钥分为可用的有效密钥和不再使用的无效密钥,并通过存储地址进行识别。6.如权利要求2所述的量子通信服务站的量子密钥配置方法,其特征在于,还包括办登步骤,包括:采集用户提交的注册信息获得所述预留信息;所述注册信息通过审核后向用户发放量子密钥管理装置。7.如权利要求6所述的量子通信服务站的量子密钥配置方法,其特征在于,办登步骤中,向量子密钥管理装置中写入归属用户信息,以及颁发该量子密钥管理装置的归属服务站信息。8.如权利要求1所述的量子通信服务站的量子密钥配置方法,其特征在于,还包括同步更新步骤,包括:响应来自用户的更新密钥请求;依据所述更新密钥请求,同步更新量子密钥管理装置以及量子通信服务站中相应的密钥。9.如权利要求8所述的量子通信服务站的量子密钥配置方法,其特征在于,所述更新密钥请求中携带有待更新密钥对应的密钥管理服务站信息,对用户进行身份认证时,将更新密钥请求中的密钥管理服务站信息与当前量子通信服务站进行匹配;若为同一量子通信服务站则进行同步更新处理,否则将更新密钥请求转发至相应的密钥管理服务站。10.如权利要求8所述的量子通信服务站的量子密钥配置方法,其特征在...
【专利技术属性】
技术研发人员:富尧,钟一民,
申请(专利权)人:浙江神州量子网络科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。